近年来，随着数字化、信息化的蓬勃发展，新技术、新应用的普及，带来了无处不在的信息和数据流动，也带来了错综复杂的网络安全隐患。面对更加复杂的攻击手段，传统的被动安全防御手段已经不能满足企业的安全需求。如何利用更智能、更主动的安全技术和产品，快速感知安全威胁，对抗已经成为当前企业的核心需求。

面对越来越多的网络安全威胁，SOAR技术应运而生，旨在帮助企业更快地响应安全事件。 SOAR概念的定义是、、和，即安全编排、自动化和响应，以编排和自动化技术为核心，帮助安全团队加速应急响应。

在安全运营领域，SOAR技术因其在安全自动化响应方面的独特优势而受到业界的高度关注，但与此同时，我们也听到了正面和负面的声音。有人认为，网络安全“可持续安全运营”离不开攻防，SOAR是安全运营发展的必然方向。 SOAR可以大大减轻误报给安全运维人员带来的工作量，被视为解放了安全运营。不过也有业内人士认为，SOAR这个概念虽然很火，但在国内还处于猜测和测试阶段，安全厂商在落地层面还没有拿出好的实际案例。

为探究国内企业用户对安全运营的真实需求，以及SOAR技术在中国的发展和落地，安全419特邀（以下简称“无智智能”）CTO傅奎分享他的对安全运营的看法。物启智能对SOAR技术的理解、探索与实践。

关于五指智能：

物智智能成立于2019年，核心成员主要来自唯品会、小米、千寻位置、华为等重视网络安全的甲方企业。业务方向主要侧重于人工智能与真实应用场景的结合，通过提高自动化水平帮助企业解放生产力。

五指智能打造的智能风险决策系统是业界首个以AI+SOAR为核心的安全协同作战平台。通过虚拟作战室、人工智能机器人和可视化脚本编程，帮助安全团队加速威胁响应和处置，提高运营自动化，实现风险自适应治理。产品已广泛应用于政府、银行、证券、运营商、石油石化、电力、互联网等行业。

为什么说 SOAR 是安全运行最后一公里的关键技术？

付奎告诉我们，在2019年决定加入五指智能团队创业之前的十几年里，他一直坚守在一线的安全岗位，觉得作为一名安全工程师，他在运维工作中成长了一点点。工作压力大。

他与我们分享了他亲身经历的典型安全紧急情况：

午饭时间，大家正要放下工作去吃饭的时候，公司的安全监控系统突然报警，提示服务器被黑客攻击。发现攻击后，安全团队立即启动安全响应流程，开展应急响应工作。他说，当时保安队有6人，事发当天只有4人值班。最重要的检查点，负责主机安全的同事正好请假，所以他不得不自己做多项任务。最终用了40分钟止血再使用，经过4小时的审核重组业务流程，解决了攻击问题。

他说，在安全工程师的日常安全作业过程中，经常会出现这样的应急处置场景，每次应急处置的处理逻辑几乎相同，但由于每次涉及的人员或状态不同，处置的技能、方法和经验是难以传承的。 “在甲方的安全建设工作中，最现实的问题之一是安全人员的在职状态和安全专家的技术水平都是可变因素，也很难保证个人的高绩效。每次升级，这些都是不可控的。”

在当前的网络安全形势下，企业的网络边界不断扩大，企业用户面临的安全威胁日益复杂，攻击者的攻击手段也更加自动化和智能化。在这种情况下，传统的基于安全的安全威胁专家式的人工应急响应工作方式，在真正的攻防实战过程中几乎难以赢得时间窗口。

“相比之下，近二十年来，企业用户的安全建设一直以安全增强和安全防护为主，从安全检测、加固、预防等方面进行安全建设。因此，今天，或许你可以很快的发现一个安全事件，但是想要在很短的时间内处理这个安全事件，还是面临着很大的挑战。我们自己：这些警报都及时处理了吗？”

因此，面对企业的这个现实问题，SOAR编排和自动化技术的价值得到了极大的凸显。它使安全人员能够通过可视化编排将知识、经验和专家能力快速沉积到可视化脚本中。当下次事件发生时，该脚本可以自动化应急响应，并根据企业自身的发展，及时调整、整理、复制和重用脚本。因此，在他看来，SOAR技术将是打通安全运行最后一公里的关键技术。

他说，“从甲方的安全建设来看，安全能力难以提升的原因在于，过去甲方的安全过于依赖个别专家的能力和水平，但个人安全经验难以传承，几位专家一走，几乎相当于从零开始重建安全响应流程。 “

谈到安全操作，警报和误报是安全操作中无法绕过的话题。众所周知，处理海量的告警信息已经成为一线安防运维人员在日常工作中面临的最大挑战。在海量工单中，大量的时间和精力都花在验证报警的真实性上，大大降低了安防运维的效率。

傅逵表示，大多数安全产品都是基于特定环节解决问题，只能准确检测单个节点上的异常行为，但注定无法在单个节点上看到安全。事件的全貌。 “当 IDS 检测到攻击时，可能并不真的意味着黑客已经成功进行了攻击，或者即使攻击真的发生了，也有可能被攻击的目标设备没有被攻击利用的漏洞。无效攻击，在一次安全事件中，有多种上下文信息需要安全运维人员结合更全面的信息和整体业务逻辑进行判断，以验证报警信息是否为误报。”

在他看来，早期的SIEM产品的出发点也是收集多个安全产品的事件型告警信息进行关联分析，但在后期的发展过程中，很多SIEM、SOC和情景感知厂商都发生了转移他们专注于检测单个异常行为的能力，并没有真正关联和分析企业业务场景中的各种安全事件。究其原因，一是过去业界对这方面的认识不足，二是安全厂商相互隔离，下游安全产品不对外开放API接口，导致SIEM产品无法从其他安全产品获取数据，上游安全系统发出的日志缺乏统一标准，导致关联分析困难，最终难以使用。

付奎表示，编排自动化技术的出现就是为了有效解决这个困扰安全运维人员的问题。 “编排自动化技术的原理是，当上游告警信息出现时，SOAR产品可以帮助安全人员通过编排自动链接下游产品，包括入侵检测、智能系统、杀毒软件等安全产品，包括资产管理系统、内部HR系统等，收集多方信息，帮助安保人员判断报警信息是否准确，通过这种方式提高报警的准确性，降低安全运维工作中的噪音，减少报警量涉及人工，单覆盖压力。”

企业数字化安全运营三部曲——从消防到量化风险计算

在采访中，傅奎分享了五指智能提出的安全运营理念。他表示，五指智能将企业的安全发展分为三个阶段：快速止血灭火、清理家庭资产、量化风险，最后走向数字化、指数化的安全运营。

傅逵给我们打了个生动的比喻：“比如一个交通事故重伤的人来医院，医生不能说你要多运动，你要戴护膝戴头盔。”出门，注意路况。等等，这个时候说这些不合适，所以首先要解决的就是保命止血的问题，等到止血成功后，医生会立即送病人去做CT扫描和全身检查，以确定病人身体的各项指标，必须测量器官的健康状况，包括红细胞和白细胞，甚至实时监测需要患者的心跳、血压等指标，然后继续给出下一步的治疗方案，网络安全运营也是如此。”

在快速灭火止血阶段，CSO和安全团队首先要做的就是利用不同的产品、方法和技术，快速解决已经发生或即将发生的安全问题，解决先灭火工作。

扑灭火灾后，安保团队需要第一时间清理财产，实时清理企业网络中的各类信息和资产，构建全息实时资产动态图。评估下一次安全事件发生时哪些资产和哪些资产会受到影响，影响后哪些资产会受到关联影响，只有在此基础上才能进行安全操作。

傅魁说，“在完成了前面止血和收拾家庭这两个步骤之后，无论是安全团队还是安全运营官，都会马上遇到新的问题。如何评估安全工程师的效率？他们应得的勤奋？负责第一时间处理所有安全事件？报告时如何说服CEO承认过去安全工作的价值？对于任何组织，组织的所有活动都是围绕业务进行的，如果业务不“存在，那么安全将一文不值。因此，安全运营最终必须为企业的业务运营服务，安全运营必须通过可量化的指标与业务相关联，体现安全运营的价值。”因此，五指智能认为，数字化安全运营的最后一块应该围绕帮助企业量化风险的计算展开。

他表示，在安全的维度上，企业CEO往往更关注整体信息安全的风险因素，一旦发生安全事件会对业务造成多大的损害，并对安全性进行评估从投资回报率的角度看价值。因此，在给用户的安全运营建设方案中，物启智能会以监控视图的形式展示当前内部安全检测能力、安全事件响应时间、平均处置时间等，帮助企业管理者衡量自己的一个指标安全团队的安全能力。同时，在量化风险决策方面，将安全风险以货币财产损失的形式呈现，告知公司管理者当前可能面临的安全风险以及您下一次安全损失的概率，让公司管理人员更加直白清晰。认识安全价值的方法。

“无奇认为，这是企业在安全建设中必须经历的三个阶段。只有完成快速止血灭火、实时盘点和风险量化三大基本能力，企业才能真正进入安全运营。安全是没有尽头的事情，安全的最终归宿是保持动态平衡，持续的安全运营必然是组织安全建设的最终方向。”

据他介绍，针对企业数字化安全运营三部曲的不同阶段，五指智能打造了AI+SOAR产品、智能资产管理系统、量化风险计算产品即将发布，解决安全事件的快速响应, 智能资产数据管理和风险量化的痛点和需求。

站在甲方的角度——打造一线安保人员普遍要求的好产品

谈及自己在SOAR技术上的优势和独特性，傅奎认为主要体现在三个方面：甲方互联网公司的创始团队、AI技术的落地能力、行业领先的工程能力。

在上一篇介绍五指智能的时候，我们提到五指智能的创始团队都来自品汇、小米、千寻位置、华为等公司。付奎认为，甲方多年一线工作背景和让智慧团队更贴近客户安全运营的视角，设身处地为一线安保人员着想，用最接地气的实用经验在一线解决大家的问题。面临的困难和问题。

在AI技术能力的实现层面，五指智能利用AI机器学习中的迁移学习方法，打造了业界首个具有NLP自然语言处理、OCR图像处理和ASR语音识别能力的NLP机器人，使得SOAR产品已经大大增强。在傅奎的演示中，安保人员可以直接与智能机器人雾娃进行互动。机器人可以像“天猫精灵”一样进行语音交流对话，识别安保人员发出的语音指令，执行相关安保操作，协助安保人员快速开展应急响应工作。

他介绍，除了协同作战的场景，五指智能的AI能力在自动编排的场景中也得到了很好的体现。当安全事件发生时，产品会根据安全人员的操作历史主动推荐脚本安排或动作，并根据过去的上下文、事件、处置场景等情况，对脚本相关动作进行关联分析，实现脚本化安全应急响应更流畅方便。

在工程能力方面，五指智能团队核心技术人员的互联网工作背景和各大电商平台的技术开发基因，决定了团队的整体研发能力和工程结构能力领先于行业水平。 “作为一支正规的研发大军楼宇自控市场分析，我们非常熟悉最新的技术架构和研发理念，自然有能力了解各种主流的开发流程和技术架构。因此，作为业内大家关心的高可用、高并发，容器化部署，支持国产新创设备等需求，五指智能打造的产品可以轻松实现，这是五指这样专业的技术团队的优势和信心。”

具体在产品层面，付奎表示，在产品创作之初，五指智能就特别关注和强调了AI增强的人机协同和自动化协同能力，并在脚本编排中实现。与业内部分厂商采用的电子流系统改造、开源流程系统等方式相比，物奇智能研发的自动编排引擎具有明显更强的扩展性和编排能力。安全编排自动化技术将在执行、AI处理等多种场景下落地。

在解释产品名称时，傅魁解释说，“”来源于自然界中一种鸟类的名字。这种鸟生活在非洲草原上。经过数十万年的进化，它们已经达到了与人类相同的水平。很默契的合作。人类可以通过听它的声音找到一个大蜂巢，找到蜂巢后会将一部分蜂蜜分发给他们，而这只鸟很高兴能与人类保持这种合作关系。

因此，五指智能也希望这款产品能够像“”一样，在未来成为IT、运维、安全相关人员的智能队友，与他们携手共进。

解决底层协议的隔离和不开放API的问题是SOAR技术落地的下一个突破口

最后回到SOAR技术在中国未来发展趋势的话题上，付奎也分享了自己的一些看法。他表示，与国内安防市场相比，国外SOAR技术落地速度会更快。主要原因是国外的安全厂商自己提供了规范的接口和文档，为新技术的实施提供了更加成熟的环境。

但是放眼国内市场，没有可调用的API接口，没有规范的标准文档，低层协议互操作成为历史遗留问题。这给 SOAR 产品与上下游安全产品的对接带来了障碍，导致产品在具体实现过程中面临诸多挑战，实现跨厂商、跨产品交互需要付出很大的努力。

在他看来，缺乏开放意识和生态是当前国内安防行业面临的重要发展瓶颈。 “作为这个生态系统中的安全厂商，我们在构建产品之初就应该考虑开放和协作的问题。任何产品未来都会涉及与其他系统的交互，所以我们需要考虑我们的下游能力是什么样的我需要，我的上游需要什么样的能力，我想向别人开放什么样的API？只有提高行业的开放意识，构建更开放的生态系统，提供更开放和标准化的通信方式和协议，中国网络安全市场将迎来更好的发展。”

但同时他也提到，国内安防市场出现了良好的发展趋势。一方面，从外部驱动，相关主管部门和行业协会积极推动互联互通和标准化；另一方面，从企业发展的内生驱动来看，新一代安全厂商正在摒弃传统玩的方式。如果传统的安全厂商继续固步自封，最终将在客户的环境中被取代和淘汰。看来新一代安全厂商的加入，将迫使潮流朝着正确的方向转变。

谈及未来的发展规划，付奎表示，作为一家新兴的安防厂商，五指智能希望通过创新的技术手段，将AI和自动化技术精准落地到实际应用场景中，从而更加脚踏实地。解决客户面临的需求和痛点的方法。

“我们五指智能希望尽最大努力走创新的道路，用更前沿的方法和手段解决传统安全无法解决的问题。人们常说安全是一个非常依赖经验的行业，但在我们看来，经验是一把双刃剑。经验确实可以帮助你更快地处理和反应，但是超出经验的问题是传统思维无法解决的。因此，五指的做法是引进一些新的人才进入行业，包括数学人才、数据分析人才、AI研究人才，以跨学科能力解决传统安全看不到的问题，引领行业创新，摆脱传统安全思维的束缚，用新方法打破慢性病，引领整个行业不断创新，做出更多新尝试”，傅奎最后说道。返回搜狐，查看更多